Empêcher les users à recevoir d'IP du DHCP si pas en domaine

par **julesboucan** sur Ven 29 Fév 2008, 14:15

Bonjour,

Je viens en sur cet espace en espérant que je suis dans le bon endroit,sinon désolé et veuillez déplacer le sujet ,merci bien.

En réalité voici mon problème,je veux empêcher à des PCs qui sont pas en domaine de prendre des adresses IP automatiquement chez mon DHCP,je ne sais par quelle manière,c'est pour ca que je viens vers vous chers amis .

Surtout les Laptops qui sont infêctés et apportés de l'extérieure,mes users ont cette salle habitude de connecter des PCs au réseau sans vérifier la MAJ de l'antivirus ou sans appler un Informatcien pour l'intégrer au domaine afin que cet PC utilise désormais des Stratégies GPO pour fonctionner dans L'intranet.

Vous voyez mon but,je veux les forcer à appeler un informaticien afin qu'on configure leur PCs s'ils veulent fonctionner dans l'intranet,puisque aussitôt qu'il auront pas d'Ip,ils auront pas Internet,ce qu'ils chechent tous généralement .Donc ils appelleront forcement un informaticien.

Oui il y a la possibilité qu'il utilisent une adresse IP fixe,mais rare sont ceux qui s'y connaissent pour faire cela.

Merci bien pour vos propositions.

par **TheHinou** sur Ven 29 Fév 2008, 15:06

si c'est leur bloquer l'acces à internet pourquoi ne pas mêtre en place un proxy limitant seul l'acces au machine connecté au domaine ?

Concernant la gpo elle n'est pas sencer se déployé si la machine ne fait pas partie du domaine.

Et comme le domaine n'est connectable que si un admin décide de l'importer, tu règle tout tes problèmes. Et en plus tu peux filtrer les site visiter ...

par **julienjb** sur Ven 29 Fév 2008, 15:15

sinon tu fais fait fonctionner ton dhcp uniquement sur reservation....

par **julesboucan** sur Ven 29 Fév 2008, 15:47

TheHinou a écrit:si c'est leur bloquer l'acces à internet pourquoi ne pas mêtre en place un proxy limitant seul l'acces au machine connecté au domaine ?

Concernant la gpo elle n'est pas sencer se déployé si la machine ne fait pas partie du domaine.

Et comme le domaine n'est connectable que si un admin décide de l'importer, tu règle tout tes problèmes. Et en plus tu peux filtrer les site visiter ...

Si,je suis une fois encore d'accord avec toi TheHinou,j'ai un projet d'installation d'un Proxy sous Linux,seulement qu'ils m'ont pas encore remis le serveur en question.
Je ne sais pas trop si le Proxy Squid sous linux pourra gérer cela,c'est à dire empêcher un PC qui n'est pas en domaine Active Directory de ne pas se connecter à l'internet,je n'ai jamais pensé à cette type de configuration,puisque je pense qu'il va falloir rendre le Proxy Transparent,je m'explique:
il faut que le Proxy sache d'abord que quelqu'un est connecté,sans que l'on ne passe sur ce Pc en indiquant l'adresse Ip et le port du Proxy,donc pour cela le Proxy doit être transparent,c'est à dire qu'on n'aurait pas besoin de passer sur le Pc client en configurant le Proxy dans son naviguateur avant qu'il ne soit connecté.

Donc si cette première étape est vérifiée,il faut que le Proxy vérifie s'il est dans un domaine Active Directory.

Mais je pense qu'il faudra que je le fasse surtout si cela est possible avec le Proxy.

Oui je sais pour les GPO,il faut que les PCs soient en domaine afin que les stratégies les soient appliqués,si je me casse la tête si tant c'est surtout pour lutter plus contre les virus,puisque là ca me dépasse,il faut renforcer la sécurité de toutes les manières possibles,ca urge pour moi ici.

Merci bien pour suite d'avance.

par **julesboucan** sur Ven 29 Fév 2008, 16:01

julienjb a écrit:sinon tu fais fait fonctionner ton dhcp uniquement sur reservation....

Merci bien pour ton intervention aussi

Oui je pense que cela doit être laborieux,puisqu'il va falloir réserver une bonne majorité d'adresse IP et ca,j'en ai pas assez non plus puisque j'utilise une classe C sur le réseau et j'ai déjà en moyenne 200 users connectés.Donc il va falloir annulé la réservation sur le DHCP,après avoir contrôlé le pc qui veut prendre une IP,puisque si il n'a pas d'Ip il va appeler les informaticiens et il vont voir,tu t'imagines,et là il faudra intervenir sur le DHCP pour annuler de temps en temps les réservations.
A moins que je n'ai pas bien compris ce que tu voulais dire par là.
L'autre chose un Pc qu'est connectés aujord'hui peut ne pas être connecté après le bail,donc cette Ip serait disponible en son temps puisqu'il n'était résrvé.

Tu vois un peu mon analyse à moins que je me suis trompé dans mes raisonnements.

par **julesboucan** sur Ven 29 Fév 2008, 16:11

Oui TheHinou toujours par rapport à la proposition d'avoir un Proxy.

Je pense que c'est faisable selon ces points:

1--Rendre Le Proxy Transparent afin que tous les Pcs soient forcés de sortir par lui.

2---Gérer les Acl en authentifiants les users avant qu'il ne se connecte à internet.Justement pour éviter que les users puissent avoir plusieurs comptes,il va falloir qu'ils utilisent le compte d'Active Directory pour faire s'authentifier,donc forcement le Proxy travailler avec le DC avant qu'il ne valide le compte pour qu'il sort du réseau.

Ca c'est une solution Linux et là ca doit demander du travail vraiment,mais je le ferai si j'ai pas de choix.

Autre chose j'ai pas une licence de ISA server 2004 ou 2006 et je ne sais si lui fera bien aussi,et je ne pense pas non plus que l'administration sera prête à s'investire encore dans les licenses.

Voilà un peu ce que je pense.

par **bigstyle** sur Ven 29 Fév 2008, 16:21

La mise en place d'une communication IPSec peut répondre à ta demande d'autorisation avant dialogue sur le réseau.

Sinon, tu as le NAP/NAC.

par **julesboucan** sur Ven 29 Fév 2008, 16:45

bigstyle a écrit:La mise en place d'une communication IPSec peut répondre à ta demande d'autorisation avant dialogue sur le réseau.

Sinon, tu as le NAP/NAC.

Bonjour bigstyle,

Non j'ai pas le NAP/NAC.

Je ne maîtrise pas trop les communication IPSec,afin de les mettre en place comme tu me le proposes.

par **julesboucan** sur Ven 29 Fév 2008, 21:07

Ahhhh ma solution de Proxy transparent plus authentification transparente dans le domaine Active Directory ne résoud pas entièrement mon problème,excusez moi pour la totologie du mot transparent.

Même zvec un Proxy,tout ce que je réussirai à vérifier est l'accès à l'internet.Par contre l'intranet sera toujours accessible,et ce que j'évite peut arriver,c'est à dire infecter le réseau via l'intranet en n'étant connecté,ce virus pourra circuler faciler dans le réseau.

D'autres solutions seront les bienvenues,ca seraity pas mal si je gérais déjà l'internet avec le proxy et l'intranet ?
La meilleure option est qu'il soit pas capable de prendre d'IP,s'il n'est pas en domaine.

par **Koj** sur Ven 29 Fév 2008, 21:26

Pourquoi ne pas bloqué les adresses MAC sur les switchs ?
C'est radical et ca marche tres bien.

L'embetant c'est de tenir a jour un fichier excel... mais c'est pas la misere.
En plus ca oblige a faire un peu de doc.

Sinon, je te conseille le 802.1x sur reseau wired. C'est radical aussi. J'ai encore chopé 2 externe mardi.

Koj

par **julesboucan** sur Lun 03 Mar 2008, 10:35

Koj a écrit:Pourquoi ne pas bloqué les adresses MAC sur les switchs ?
C'est radical et ca marche tres bien.

L'embetant c'est de tenir a jour un fichier excel... mais c'est pas la misere.
En plus ca oblige a faire un peu de doc.

Sinon, je te conseille le 802.1x sur reseau wired. C'est radical aussi. J'ai encore chopé 2 externe mardi.

Koj

Salut Koj,merci bien pour ta proposition,
je suis désolé j'ai pas vraiment des switchs administrables ce sont des switchs DLinK.
Et l'autre chose est qu'on ne peut pas connaître les adresses MAC d'un ordianteur d'avance afin de le bloquer,je dis cela surtout pour les PCS ou Laptop futur,c'est à dire un user amène son Laptop par exemple de l'extérieur et le branche au réseau comme ca.
Mon but du jeu est donc d'empêcher les pcs automatiquement à prendre une IP automatiquement s'il n'est pas en domaine.
Je ne sais si cela est vraiment possible c'est pour ca que je viens vers vous.

Merci bien .

par **Koj** sur Mar 04 Mar 2008, 18:49

C'est c'est possible c'est le DHCP+NAC de Microsoft sur Windows 2008.
Mais ca n'empechera pas un utilisateur normal (car maintenant quasi tout le monde sait changer son IP) de mettre une ip sur LAN et roule ma poule :wink:

Et la question : pourquoi un ndividu vient il brancher son pc comme ca ?

Conseil : bloque les MAC et envoit bouler le PC inconnu.

Koj

par **Timil** sur Mar 04 Mar 2008, 19:08

C'est c'est possible c'est le DHCP+NAC de Microsoft sur Windows 2008.
Mais ca n'empechera pas un utilisateur normal (car maintenant quasi tout le monde sait changer son IP) de mettre une ip sur LAN et roule ma poule

Dans NAP (pas NAC, c'est cisco) il est possible de refuser l'accès à ceux qui n'ont pas d'adresse donnée par le DHCP.

par **julesboucan** sur Mar 04 Mar 2008, 19:19

Koj a écrit:C'est c'est possible c'est le DHCP+NAC de Microsoft sur Windows 2008.
Mais ca n'empechera pas un utilisateur normal (car maintenant quasi tout le monde sait changer son IP) de mettre une ip sur LAN et roule ma poule

Et la question : pourquoi un ndividu vient il brancher son pc comme ca ?

Conseil : bloque les MAC et envoit bouler le PC inconnu.

Koj

Rép: généralement pour naviguer,sous prétesse qu'il a des fichiers sur son LapTop qu'il utilise pour travailler.Bref c'est normal pour eux de connecter un Laptop comme ca sur le réseau,surtout qu'ils ont tous générallement deux prises par bureau.

Désolé J'ai pas Windows 2008 server installé.

Merci

par **Koj** sur Mar 04 Mar 2008, 20:57

Ben faut les éduquer tes utilisateurs :wink:

Le laptop du boulot = le boulot
Le laptop de la maison = reste a la maison

Et tu migres les desktop en laptop pour ceux qui en ont besoin.
Ca va te simplifier la vie, crois moi.
En therme d'explication, tu vas voir le DAF+RH et tu justifies une ressource humaine en plus, ou en échange tu éduques les utilisateurs.
Crois moi ca va bien se passer. Faut juste expliquer gentillement et faire jouer les bons leviers.

Koj

Empêcher les users à recevoir d'IP du DHCP si pas en domaine

Empêcher les users à recevoir d'IP du DHCP si pas en domaine

Qui est en ligne ?